Nowe orzeczenie WSA i dylemat: Czy każde CV trzeba przechowywać aż 3 lata?

Artykuł autorstwa ekspertów z Lex Artist. Partnera merytorycznego Akademii Inspektora Ochrony Danych

Wprowadzenie do retencji danych

Zacznę od krótkiego wprowadzenia, dla osób, które pierwszy raz stykają się terminem retencji danych. W uproszczeniu, chodzi o to, że wszystkie dane osobowe, powinny mieć swój termin „przydatności do użycia”. Wszystkie przetwarzane przez nas dane osobowe, po jakimś czasie powinny zostać usunięte.

Na początek odpowiem na pytanie, dlaczego trzeba usuwać dane osobowe? Taki obowiązek wynika z art. 5 ust.1, lit.e Rozporządzenia. Przepis ma zapobiegać poważnym wyciekom danych czy też tworzeniu ogromnych archiwów, które w przypadku dostania się w niepowołane ręce, mogłyby wyrządzić nam krzywdę. Są jednak inne, bardziej egoistyczne powody, dla których dane warto usuwać. Dane osobowe zajmują miejsce na naszych serwerach i przestrzeń w naszych szafach. Globalnie, koszty składowania nadmiarowych informacji (w tym danych osobowych), są gigantyczne. Retencja danych jest nie tylko zgodna z RODO, ale i korzystna dla naszych organizacji. I tutaj bardzo ważne zastrzeżenie. Retencja będzie wartością dodaną dla naszej organizacji, jeśli będzie prowadzona w oparciu o przemyślane terminy usuwania informacji.

Ryzyka retencji

Wyobraź sobie, że Twoja organizacja właśnie zamknęła duży projekt. W ramach projektu było przetwarzanych dużo danych osobowych, więc wszystkie informacje dotyczące projektu zostały wyczyszczone po upływie pół roku. Jednak po ośmiu miesiącach, klient stwierdził, że nie dostarczyliśmy mu bardzo ważnego fragmentu dokumentacji. My wiemy, że ten dokument dostarczyliśmy, ale nie możemy go znaleźć, bo przecież wszystko zostało poddane retencji. Żeby było zgodnie z RODO i żeby nie zajmować dodatkowej przestrzeni. Gdzie w tym przypadku leży problem? W błędnie ustalonym terminie retencji. Dane osobowe i dokumentacja projektowa, w mojej opinii powinna zostać usunięta w momencie, kiedy nasz klient nie ma już możliwości wytoczenia przeciwko nam powództwa cywilnego. Idea retencji jest jak najbardziej słuszna i tak naprawdę korzystna dla wszystkich. Diabeł tkwi jednak w szczegółach, a w tym przypadku, terminach jakie damy sobie na dokonanie retencji danych.

Retencja CV

Wszystkie osoby prowadzące rekrutację, na pewno zadawały sobie pytanie, jak długo mogą trzymać zgromadzone CV. Oczywiście, jeśli pracownik wyrazi nam zgodę również na przyszłe rekrutacje, ten termin może być dłuższy. Załóżmy jednak, że takich zgód nie zbieramy i chcemy zrealizować proces rekrutacji jednorazowo, a potem usunąć CV. Wydawałoby się, że usunięcie danych niezwłocznie po zakończonej rekrutacji, będzie najbezpieczniejsze z perspektywy ochrony danych osobowych. Co więcej, taką informację, znajdziemy nawet w oficjalnym informatorze UODO. Zbieramy CV, dokonujemy selekcji, wybieramy kandydata lub kandydatkę i niezwłocznie usuwamy CV. Taka wizja procesu jest preferowana przez UODO. Okazało się jednak, że w tym przypadku, całą sprawę zupełnie inaczej widzi Wojewódzki Sąd Administracyjny w Warszawie.  W wyroku z dnia 4 sierpnia 2022 roku (II SA/Wa 542/22), Sąd uchylił decyzję Prezesa UODO, w której organ udzielił upomnienia pracodawcy z powodu, jego zdaniem, bezpodstawnego przetwarzania danych kandydatki do pracy po zakończonej rekrutacji.

Zdaniem Sądu, CV powinny być przechowywane przez pewien czas, z uwagi na przepisy Kodeksu pracy, mające przeciwdziałać dyskryminacji.

Zgodnie z art. 183d Kodeksu pracy osoba, wobec której pracodawca naruszył zasadę równego traktowania w zatrudnieniu (to także kandydat do zatrudnienia) – ma prawo do odszkodowania.

Przepisy prawa pracy dają nawet konkretny termin przedawnienia ww. roszczenia: 3 lata. Idąc tokiem rozumowania sądu, CV powinniśmy usuwać po upływie 3 lat od zakończenia rekrutacji.

Kogo słuchać – Sądu czy UODO?

To niestety klasyczna sytuacja konfliktu różnych ważnych norm prawnych. Niezależnie od tego, które rozwiązanie wybierzemy, to komuś możemy się narazić. W Polsce nie mamy systemu prawa precedensowego. Każdy inny Sąd może orzec w podobnej sytuacji inaczej niż WSA w Warszawie. Na jednolite orzecznictwo trzeba niestety jeszcze poczekać. Spójrzmy jednak na całą sytuację z nieco bardziej pozytywnej perspektywy. Nawet jeśli wybiorę stanowisko Sądu i zostanie ono później zakwestionowane przez przełożonych czy UODO, to mam bardzo solidną podstawę, z powodu której wybrałem takie a nie inne stanowisko. I odwrotnie, jeśli usunę dane niezwłocznie po rekrutacji, to wytłumaczę się stanowiskiem UODO obecnym wciąż na stronie Organu. Najgorszym rozwiązaniem będzie wybór rozwiązań pośrednich, czyli np. 1,5 rocznego albo 10 letniego okresu retencji. Albo w ogóle niestosowanie żadnej retencji i przechowywanie CV w nieskończoność. Te sytuacje o których nie mówi ani UODO, ani Sąd (czyli np. więcej niż 3 lata lub w ogóle bez retencji), to sytuacje, których powinniśmy się obawiać i które mogą zakończyć się nałożeniem na nas kar.

Zwróć uwagę, że ani w zaskarżonej decyzji UODO, ani w orzeczeniu Sądowym, nie została nałożona żadna kara finansowa. Kara może jednak zostać nałożona, jeśli retencji nie stosujesz w ogóle lub stosujesz dla niej zupełnie nieadekwatne terminy. I to najcenniejsza lekcja z bardzo świeżego orzeczenia WSA z 4 sierpnia 2022 roku. Retencja CV musi być stosowana. Termin retencji wskazany przez Sąd, to trzy lata. Termin preferowany przez UODO – niezwłocznie po zakończonej rekrutacji. Inne rozwiązania obarczone są dużym ryzykiem prawnym.